互聯(lián)網(wǎng)也同時(shí)帶給我們無(wú)數(shù)的寶貴資源，只等我們?nèi)ラ_(kāi)發(fā)、利用，

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)

。開(kāi)放源代碼軟件(Open Source Software)便是其中之一，免費(fèi)可得的軟件發(fā)布形式，使其具有廣大的用戶(hù)群;眾多志愿者的協(xié)同開(kāi)發(fā)模式使其具有卓越的兼容性;大量的網(wǎng)上社區(qū)彌補(bǔ)了缺少商業(yè)服務(wù)的不足。本文試圖論述利

    用互聯(lián)網(wǎng)上免費(fèi)可得的開(kāi)放源代碼軟件實(shí)現(xiàn)一個(gè)完整的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的過(guò)程。

    系統(tǒng)概述

    本系統(tǒng)采用三層分布式體系結(jié)構(gòu)：網(wǎng)絡(luò)入侵探測(cè)器、入侵事件數(shù)據(jù)庫(kù)和基于Web的分析控制臺(tái)。為了避免不必要的網(wǎng)絡(luò)流量，本例將網(wǎng)絡(luò)入侵探測(cè)器和入侵事件數(shù)據(jù)庫(kù)整合在一臺(tái)主機(jī)中，用標(biāo)準(zhǔn)瀏覽器異地訪問(wèn)主機(jī)上的Web服務(wù)器作為分析控制臺(tái)，兩者之間的通信采用HTTPS安全加密協(xié)議傳輸。

    由于實(shí)現(xiàn)本系統(tǒng)所需的軟件較多，有必要在此進(jìn)行簡(jiǎn)要的說(shuō)明：

    Snort

    功能簡(jiǎn)述：網(wǎng)絡(luò)入侵探測(cè)器;

    正式網(wǎng)址：http://www.snort.org/

    軟件版本：1.8.6

    Libpcap

    功能簡(jiǎn)述：Snort所依賴(lài)的網(wǎng)絡(luò)抓包庫(kù);

    正式網(wǎng)址：http://www.tcpdump.org/

    軟件版本：0.7.1

    MySQL

    功能簡(jiǎn)述：入侵事件數(shù)據(jù)庫(kù);

    正式網(wǎng)址：http://www.mysql.org/

    軟件版本：3.23.49

    Apache

    功能簡(jiǎn)述：Web服務(wù)器;

    正式網(wǎng)址：http://www.apache.org/

    軟件版本：1.3.24

    Mod_ssl

    功能簡(jiǎn)述：為Apache提供SSL加密功能的模塊;

    正式網(wǎng)址：http://www.modssl.org/

    軟件版本：2.8.8

    OpenSSL

    功能簡(jiǎn)述：開(kāi)放源代碼的SSL加密庫(kù)，為mod_ssl所依賴(lài);

    正式網(wǎng)址：http://www.openssl.org/

    軟件版本：0.9.6d

    MM

    功能簡(jiǎn)述：為Apache的模塊提供共享內(nèi)存服務(wù);

    正式網(wǎng)址：http://www.engelschall.com/sw/mm/

    軟件版本：1.1.3

    PHP

    功能簡(jiǎn)述：ACID的實(shí)現(xiàn)語(yǔ)言;

    正式網(wǎng)址：http://www.php.net/

    軟件版本：4.0.6

    GD

    功能簡(jiǎn)述：被PHP用來(lái)即時(shí)生成PNG和JPG圖像的庫(kù);

    正式網(wǎng)址：http://www.boutell.com/gd/

    軟件版本：1.8.4

    ACID

    功能簡(jiǎn)述：基于Web的入侵事件數(shù)據(jù)庫(kù)分析控制臺(tái);

    正式網(wǎng)址：http://www.cert.org/kb/aircert/

    軟件版本：0.9.6b21

    ADODB

    功能簡(jiǎn)述：為ACID提供便捷的數(shù)據(jù)庫(kù)接口;

    正式網(wǎng)址：http://php.weblogs.com/ADODB

    軟件版本：2.00

    PHPlot

    功能簡(jiǎn)述：ACID所依賴(lài)的制圖庫(kù);

    正式網(wǎng)址：http://www.phplot.com/

    軟件版本：4.4.6

    上述軟件都是開(kāi)源軟件，可以直接登錄相應(yīng)軟件的正式網(wǎng)站，下載源代碼，

電腦資料

《網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)》(http://www.lotusphilosophies.com)。此外，需要特別說(shuō)明的一點(diǎn)是雖然本例中網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所采用的系統(tǒng)平臺(tái)是Solaris 8 for Intel Platform，但是在其它種類(lèi)的系統(tǒng)平臺(tái)上，如Linux 、OpenBSD以及Windows 2000等，其具體的實(shí)現(xiàn)步驟大同小異，因此就不在另行說(shuō)明了。

    三、 安裝及配置

    在正式進(jìn)行軟件安裝之前，請(qǐng)檢查系統(tǒng)，確保擁有符合ANSI標(biāo)準(zhǔn)的C/C++編譯器等軟件開(kāi)發(fā)工具。

    1、 安裝MySQL

    首先，以超級(jí)用戶(hù)的身份登錄系統(tǒng)，創(chuàng)建mysql 用戶(hù)和mysql用戶(hù)組;

    然后，以mysql身份登錄，執(zhí)行下列命令：

    $gzip -d -c mysql-3.23.49.tar.gz | tar xvf -

    $cd mysql-3.23.49

    $./configure

    $make

    $make install

    這樣，就按照缺省配置將MySQL安裝在/usr/local目錄下。然后將源代碼樹(shù)中的缺省配置文件my.cnf拷貝到/etc目錄下。接下來(lái)，以超級(jí)用戶(hù)身份執(zhí)行源碼樹(shù)中scripts目錄下的可執(zhí)行腳本文件mysql_install_db來(lái)創(chuàng)建初始數(shù)據(jù)庫(kù)。用/etc/init.d/mysql.server命令啟動(dòng)數(shù)據(jù)庫(kù)服務(wù)器后，使用/usr/local/bin/mysqladmin程序來(lái)改變數(shù)據(jù)庫(kù)管理員的口令。

    [1] [2] 下一頁(yè)